Avec la 9e série de mises à jour du Patch Tuesday de l'année 2020, pratiquement tout le monde se concentre sur les améliorations de la sécurité..
Alors que tout le monde attend avec impatience toutes les nouvelles fonctionnalités et améliorations des performances, l'objectif principal des mises à jour de Patch Tuesday est la liste des CVE qui l'accompagnent..
Malheureusement, 2020 s'est avérée être une année assez difficile en ce qui concerne la sécurité, les chiffres détectés jusqu'à présent dépassant presque l'intégralité de l'année dernière..
Voici un petit aperçu du nombre de CVE qui ont été repérées cette année:
- Février: 99 CVE
- Mars: 115 CVE
- Avril: 118 CVE
- Mai: 147 CVE
- Juin: 139 CVE
- Juillet: 136 CVE
- Août: 146 CVE
Fidèle à cette tendance malheureuse, le Patch Tuesday de septembre présente 147 vulnérabilités qui ont été détectées et traitées..
Comme toujours, ils affectent à la fois les vulnérabilités liées à Microsoft et Adobe, dont la gravité varie de Important à Critique.
147 vulnérabilités ont été identifiées ce mois-ci seulement
Comme d'habitude, les produits Microsoft présentent le plus de vulnérabilités, avec 128 découvertes sur un total de 147, les 18 autres étant attribuées aux produits Adobe..
Vulnérabilités trouvées dans les produits Adobe
Ce mois-ci, des vulnérabilités ont été trouvées pour 3 produits Adobe:
- InDesign
- Framemaker
- Adobe Experience Manager
Alors qu'InDesign a 5 correctifs de corruption de mémoire, Framemaker a dû faire corriger deux vulnérabilités critiques: une lecture hors limites et un débordement de tampon basé sur la pile..
Vulnérabilités trouvées dans les produits Microsoft
Comme toujours, de nombreux autres produits Microsoft ont découvert des vulnérabilités qui leur ont été attribuées. Ceux-ci incluent des produits tels que Microsoft Windows, Edge (basé sur EdgeHTML et basé sur Chromium), ChakraCore, Internet Explorer (IE), SQL Server, etc..
Sur les 129 vulnérabilités découvertes au total, 23 ont été classées comme Critique, 105 ont été réputés Important, et un a été considéré Modérer.
Quelles étaient certaines des CVE les plus graves?
Parmi les 129 vulnérabilités découvertes, en voici quelques-unes qui se sont démarquées plus que les autres:
- CVE-2020-16875
- Vulnérabilité de corruption de mémoire Microsoft Exchange
- CVE-2020-1129
- Vulnérabilité d'exécution de code à distance dans la bibliothèque de codecs Microsoft Windows
- CVE-2020-0922
- Vulnérabilité d'exécution de code à distance Microsoft COM pour Windows
- CVE-2020-0951
- Vulnérabilité de contournement de la fonctionnalité de sécurité du contrôle des applications Windows Defender
Comme mentionné précédemment, les vulnérabilités ont augmenté et, bien que septembre ne compte qu'une seule vulnérabilité de plus par rapport à août, ceci n'est qu'un rappel qu'il s'agit du 7ème mois avec plus de 110 vulnérabilités découvertes,
Pour une liste complète de tous les CVE identifiés pour les mises à jour du mardi de septembre, rendez-vous sur cet article dédié, et vous y trouverez tout ce qu'il y a à savoir..
Si vous connaissez d'autres vulnérabilités qui n'ont pas encore été couvertes ce mois-ci, elles seront probablement corrigées par les prochaines mises à jour du Patch Tuesday..
En parlant de cela, la prochaine série de mises à jour sera disponible à partir du 12 octobre.
FAQ: en savoir plus sur les CVE
- Comment les CVE sont-ils notés?
Les CVE sont notés de Important à Critique, les critères étant de base, à quel point il est facile d'exploiter la vulnérabilité et à quel point les conséquences peuvent finir par être graves.
- Quelle est la différence entre un CVE et un CVESS?
Alors que le CVE est la vulnérabilité, le CVSS en représente la gravité.
- D'autres vulnérabilités sont-elles découvertes?
En ce qui concerne l'année 2020, nous avons déjà dépassé le nombre de vulnérabilités trouvées en 2019 en août.
- adobe
- La cyber-sécurité
- patch mardi
- fenêtres 10